Biométrie au travail : la CNIL adopte un règlement type

16 avril 2019

Biométrie au travail : la CNIL adopte un règlement type

La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 28 mars dernier son règlement type « biométrie sur les lieux de travail » « La biométrie s’entend d’un procédé de vérification de l’identité et d’authentification d’un individu utilisant des caractéristiques physiques inhérentes à sa personne » Ce règlement fixe les règles applicables à toute utilisation de […]

CNILdataDPIAprotection des données personnelles

La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 28 mars dernier son règlement type « biométrie sur les lieux de travail »

« La biométrie s’entend d’un procédé de vérification de l’identité et d’authentification d’un individu utilisant des caractéristiques physiques inhérentes à sa personne »

Ce règlement fixe les règles applicables à toute utilisation de données biométriques imposée par un employeur du secteur public ou privé à son personnel pour le contrôle des accès aux locaux, aux applications et aux outils de travail.

Un cadre juridiquement contraignant

Avec la réécriture de la loi Informatique et Libertés, le législateur français a donné à la CNIL de nouveaux pouvoirs de régulation.

La Commission peut ainsi établir, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, des règlements types afin d’encadrer les traitements de données biométriques, génétiques et de santé. A ce titre, ce règlement type est juridiquement contraignant pour les organismes. Il est donc important de noter que, contrairement aux référentiels ou recommandations que la CNIL adopte, le respect de ce règlement est obligatoire pour tout organisme qui souhaite mettre en place un dispositif biométrique pour le contrôle des accès sur les lieux de travail.

Les points importants à retenir

Le type de données biométriques concernées :

Le règlement type rappelle que l’authentification biométrique basée sur des caractéristiques morphologiques (iris, empreinte digitale, réseau veineux de la main, etc.) est autorisée, au contraire de celle nécessitant un prélèvement biologique (salive, sang, etc.)Par ailleurs, le responsable du traitement doit justifier et documenter le choix du type de biométrie utilisée, et notamment pourquoi il a choisi une caractéristique biométrique plutôt qu’une autre.

La justification du recours à un traitement de données biométriques :

Le responsable du traitement doit démontrer la nécessité de recourir à un dispositif biométrique plutôt qu’à d’autres dispositifs d’identification (badges, mots de passe, etc.) pour atteindre le niveau de sécurité exigé. Pour cela, une documentation doit être tenue par le responsable du traitement, détaillant le contexte du traitement rendant nécessaire un niveau de protection élevé (manipulation de machines ou produits dangereux, à du matériel faisant l’objet d’une règlementation spécifique) et démontrant l’insuffisance d’un autre dispositif moins intrusif.

Le choix des modalités de détention du gabarit :

Différents types de détention de gabarits biométriques sont envisageables, distingués selon le degré de maîtrise des personnes concernées sur le support de conservation. Le règlement type précise qu’en principe, dans le cadre de traitements de données biométriques, les employeurs ne peuvent utiliser que des gabarits de type 1, c’est-à-dire sous maîtrise des personnes concernées (le support de stockage est détenu par la personne elle-même, par exemple un badge. Les gabarits de type 2 (sous maîtrise partagée) et de type 3 (non maîtrisés par les personnes concernées) peuvent être utilisés seulement dans des circonstances particulières. En outre, la décision de recourir aux gabarits de type 2 ou 3 doit être documentée par le responsable du traitement en justifiant le choix effectué.

La sécurité des données :

Le règlement type impose aux organismes de mettre en place au minimum les mesures de sécurité techniques et organisationnelles expressément définies dans le texte, et à défaut des mesures dont ils démontrent qu’elles sont équivalentes.

L’analyse d’impact relative à la protection des données :

Le règlement type rappelle l’obligation d’effectuer une analyse d’impact pour les traitements de données biométriques aux fins d’identifier une personne physique considérée comme « vulnérable » (salariés, mineurs, personnes âgées, patients, etc.), conformément à la liste adoptée par la CNIL sur les types d’opérations de traitement pour lesquelles une analyse d’impact est requise.

Pour en savoir plus:

https://www.cnil.fr/sites/default/files/atoms/files/deliberation-2019-001-10-01-2019-reglement-type-controle-dacces-biometrique.pdf

https://www.cnil.fr/fr/biometrie-sur-les-lieux-de-travail-publication-dun-reglement-type

https://www.cnil.fr/fr/question-reponses-sur-le-reglement-type-biometrie

https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf

Solution logicielle conseillée : https://www.makeitsafe.fr/

Blog

Nos actualités cybersécurité

Cybersécurité

Sécuriser chaque agent IA : le défi cybersécurité de 2026

L’IA générative s’impose désormais dans les usages professionnels les plus courants. Entre les résumés d’e-mails, l’automatisation de tâches complexes et l’assistance à la décision stratégique, chaque agent IA cybersécurité devient un collaborateur numérique à part entière. Cependant, à mesure que ces outils se diffusent à une vitesse inédite dans nos infrastructures, nous constatons que les entreprises peinent à garder une vision claire de ce qui est réellement déployé dans leurs systèmes. Le risque n’est plus seulement théorique : il est actif, souvent invisible, et logé au cœur même de nos processus métier automatisés.

13 février 2026

Privacy

Sanctions RGPD : ce que révèle le milliard d’euros d’amendes de 2025

330 amendes. 1,15 milliard d’euros. C’est le bilan RGPD de l’année 2025, selon les données consolidées par Surfshark. Derrière ce chiffre spectaculaire se cache une réalité plus complexe : pour certains acteurs, ces sanctions restent un simple coût d’exploitation. Pour d’autres, elles menacent l’existence même de l’entreprise.

5 février 2026

Privacy

Mise en conformité RGPD en 2026 : exigences de preuve et convergence réglementaire

Le RGPD a huit ans. Les grandes lignes n’ont pas changé, mais la manière dont les autorités vérifient leur application, elle, a considérablement évolué. Les déclarations de bonne intention ne suffisent plus. La CNIL et ses homologues européens veulent des preuves : des logs, des rapports d’audit, des attestations techniques. Ajoutez à cela l’entrée en application de l’AI Act et du Data Act, et vous obtenez un environnement réglementaire où la conformité RGPD ne peut plus se gérer en silo. Cet article fait le point sur ce qui a changé, ce qui se durcit et ce que ça implique concrètement pour les RSSI, DPO et directions juridiques.

4 février 2026

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

*Informations obligatoires

Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.